Sårbarheter

Kritisk sårbarhet i Ninja Forms hotar 50 000 WordPress-sajter

3 Lästid / april 8, 2026

Ninja Forms File Upload Flaw Lets Attackers Hijack 50,000 WordPress Sites

En kritisk sårbarhet i Ninja Forms File Upload-tillägget gör det möjligt för obehöriga angripare ladda upp skadliga filer och köra godtycklig kod på WordPress-servrar. CVE-2026-0740 har ett CVSS-poäng på 9,8 och påverkar cirka 50 000 aktiva WordPress-installationer. Sårbarheten utnyttjades aktivt innan en patch fanns tillgänglig.

Säkerhetsforskaren Sélim Lanouar upptäckte felet och rapporterade det genom Wordfence Bug Bounty Program den 8 januari 2026, vilket gav honom 2 145 dollar i belöning. BleepingComputer rapporterar att Wordfence blockerade över 3 600 attacker som riktade sig mot denna sårbarhet under en 24-timmarsperiod, vilket bekräftar att den utnyttjades aktivt.

Två patchar krävdes för att stänga säkerhetshålet

Den första patchen var otillräcklig. Ninja Forms-leverantören släppte version 3.3.25 den 10 februari 2026 med vad CyCognito beskriver som ”en partiell fix som åtgärdade, vissa men inte alla, sätt att kringgå skyddet”. En komplett lösning kom först med version 3.3.27 den 19 mars 2026. Organisationer som uppdaterade till februaripatchen och stannade kvar där är fortfarande sårbara.

Felet beror på otillräcklig validering av filtyper i tilläggets handle_upload-funktion. Enligt Wordfence-forskare validerar tillägget källfilens namn, men misslyckas med att kontrollera destinationsfilens namn vid filflyttningen. Angripare kan manipulera destinationssökvägen för att kringgå restriktioner för filtilläggoch skriva PHP-webbskal direkt till servern.

Premium-tilläggsuppdateringar släpar efter WordPress.org

Ninja Forms File Upload-tillägget säljs separat från huvudtillägget och distribueras genom leverantörens egen kanal istället för WordPress.org-arkivet. CyCognito varnar för att ”premiumtilläggsuppdateringar inte alltid distribueras via den vanliga uppdateringsprocessen i WordPress.org”. Denna distributionsmetod resulterar vanligtvis i långsammare patchadoption jämfört med gratistillägg.

Administratörer som förlitar sig på WordPress automatiska uppdateringsmekanismer bör manuellt verifiera den installerade versionen istället för att anta att uppdateringen har distribuerades automatiskt. Sårbarheten påverkar alla versioner upp till och med 3.3.26- alla versioner under 3.3.27 bör betraktas som sårbara.

Kontrollera din server för webshells idag

Uppdatera till version 3.3.27 omedelbart. Tillägget distribueras via ninjaforms.com, inte via WordPress.org-arkivet, så uppdateringen måste laddas ner direkt från leverantören.

Innan du uppdaterar bör du, skanna din server efter skadliga uppladdningar. Enligt flera säkerhetsföretag har angripare laddat upp webskal med slumpmässiga namn med åtta tecken i publikt tillgängliga kataloger. Kontrollera din WordPress uploads-mapp samt katalogen ninja-forms/tmp/ för oväntade PHP-filer.

Om du inte kan uppdatera omedelbart bör du inaktivera filuppladdningsfunktionaliteten i formulär som är exponerade mot det publika internet, eller begränsa uppladdningar till endast autentiserade användare. Regler i en webbapplikationsbrandväggs som blockerar PHP- och andra körbara filuppladdningar ger ett visst skydd, men är ingen permanent lösning.